Comment passer de votre CAPTCHA traditionnel au DataDome CAPTCHA

Les entreprises en ligne qui souhaitent protéger leurs plateformes et leurs clients s’éloignent progressivement des outils CAPTCHA traditionnels tels que reCAPTCHA. En effet, les bots malveillants parviennent souvent à contourner ces CAPTCHA cloisonnés, et les préoccupations concernant la vie privée des utilisateurs se multiplient. Les CAPTCHA traditionnels ne sont plus « suffisamment efficaces » face aux bots sophistiqués et puissants d’aujourd’hui.

Heureusement, le passage d’outils tels que reCAPTCHA à une solution CAPTCHA entièrement sécurisée, respectueuse de la vie privée et conviviale est un processus rapide et facile.

Ce guide explorera :

> Les inconvénients des CAPTCHA traditionnels

> Le nouveau standard élevé pour les CAPTCHA

> 3 manières dont notre CAPTCHA résout les problèmes courants de reCAPTCHA

> Activer le DataDome CAPTCHA

> Étapes simples pour supprimer votre CAPTCHA traditionnel

• • Suppression de reCAPTCHA
  • Suppression de hCAPTCHA
  • Suppression de GeeTest

> Conclusion

Inconvénients des CAPTCHA traditionnels

Voyons comment fonctionnent les CAPTCHA et les inconvénients des CAPTCHA traditionnels.

Manque de sécurité

Les CAPTCHA traditionnels sont démodés et peu sécurisés. Les bots et les fermes à CAPTCHA peuvent facilement contourner les reCAPTCHA, qui ne fournissent qu’un retour d’information limité aux signaux de réussite ou d’échec – pas assez de données pour affiner votre sécurité et minimiser les faux positifs et les faux négatifs.

Même ceux basés sur des systèmes de scoring, tels que reCAPTCHA v3, ne sont pas idéaux car ils nécessitent une programmation manuelle importante. C’est à vous de décider : à quel score considérez-vous que l’utilisateur est un bot ? Si le score utilisateur indique qu’il s’agit d’un bot, quelle réponse donner ? L’utilisateur doit-il faire face à un défi ? Devriez-vous bloquer la requête ? Que se passe-t-il avec les faux positifs ? Comment suivre les faux positifs et les faux négatifs, qui ne sont pas partagés automatiquement par le logiciel ?

La plupart des CAPTCHA traditionnels, y compris reCAPTCHA, n’ont aucun moyen inné d’examiner les faux positifs ou négatifs. Si un utilisateur réussit le test, reCAPTCHA suppose qu’il est humain (même si plus de la moitié des reCAPTCHA réussis sont complétés par des bots). Les humains qui ne réussissent pas le test sont bloqués, tandis que les bots qui y arrivent ont libre accès au site web, à l’application et/ou à l’API. Non seulement les faux positifs et négatifs ne sont pas pris en compte, mais l’algorithme qui prend les décisions n’apprend jamais de ses erreurs ni ne s’ajuste en conséquence.

Expérience utilisateur frustrante

Autre point important, les CAPTCHA traditionnels dégradent l’expérience utilisateur. Ils sont connus pour être lents, fastidieux et agaçants. En moyenne, résoudre un reCAPTCHA prend 20 secondes, ce qui réduit les taux de conversion et nuit à l’image de votre marque.

Violation de la vie privée

Enfin, et c’est loin d’être négligeable, les CAPTCHA classiques ne respectent pas toujours les lois sur la protection de la vie privée, telles que le RGPD, pour protéger les droits des utilisateurs finaux.

Le nouveau standard élevé pour les CAPTCHA

Qu’est-ce qui fait une bonne solution CAPTCHA, maintenant que les options traditionnelles ne suffisent plus ? La meilleure utilisation d’un CAPTCHA consiste à le combiner avec divers autres mécanismes de détection, comme une petite partie d’une solution complète de protection contre les bots, plutôt qu’en tant que première ligne de défense. Voici quelques autres qualités à rechercher dans une solution CAPTCHA efficace :

• Un CAPTCHA ne devrait jamais être isolé : c’est-à-dire qu’il doit être transparent pour que vous puissiez examiner les faux positifs et les faux négatifs, et inclure une boucle de rétroaction complète pour mettre à jour les réponses en conséquence. Les bots changent et s’améliorent constamment, une protection adéquate doit donc être capable de faire de même.
• La confidentialité des données est primordiale. Vos utilisateurs et clients ne devraient jamais avoir à se demander si leurs données personnelles sont collectées, où elles vont et à quoi elles servent lorsqu’ils essaient d’accéder à votre site web. Il a été démontré que les CAPTCHA tels que reCAPTCHA collectent de manière excessive des informations personnellement identifiables (PII) des utilisateurs finaux sans clarifier comment et où elles sont utilisées. Toutefois, il est de plus en plus admis que la cybersécurité ne doit pas se faire au détriment de la vie privée des utilisateurs. Une solution CAPTCHA doit être conforme aux lois et réglementations sur la confidentialité des données en vigueur dans le monde entier.
• Les CAPTCHA ne doivent pas entraver l’expérience utilisateur. Des temps de chargement longs aux problèmes d’accessibilité, les CAPTCHA traditionnels sont notoirement mauvais pour l’expérience client. Recherchez un CAPTCHA qui ne s’affiche que lorsque cela est nécessaire, se charge rapidement, est facile pour les humains mais difficile pour les bots, et met l’accent sur l’accessibilité ; le tout sans compromettre la précision de sa sécurité.

DataDome CAPTCHA : le premier en son genre

Le CAPTCHA de DataDome est entièrement conçu par une entreprise de sécurité, et non par une entreprise publicitaire : notre objectif est toujours d’assurer la protection de votre entreprise (et des données de vos clients). Nous croyons que le meilleur CAPTCHA au monde fonctionne en complément d’une bonne solution de gestion des bots et de la fraude, afin que vos clients n’aient même pas conscience de son existence.

Mais pour les rares occasions où un client est confronté à un CAPTCHA, il doit s’agir d’une solution axée sur l’optimisation de l’expérience utilisateur (y compris l’accessibilité), la conformité en matière de confidentialité et la sécurité. Nous avons entrepris de créer une solution CAPTCHA pour nos clients qui corrigerait les problèmes liés aux CAPTCHA traditionnels—et d’après leurs premiers commentaires, nous y sommes parvenus !

3 façons dont le DataDome CAPTCHA résout les problèmes courants de reCAPTCHA

1. Précision sans compromis

Notre CAPTCHA est entièrement intégré à notre puissante solution de gestion des bots et de la fraude. Avec plus de 25 points de présence à faible latence, nous répondons à 100 % des requêtes rapidement (en moins de 2 ms), bloquant les attaques malveillantes, gérant les bots autorisés et vérifiant les utilisateurs humains avec un taux de faux positifs de seulement 0,01 % (un record dans le secteur). Notre moteur de détection comportementale identifie les nouvelles techniques de bots en temps réel, rendant les fermes à CAPTCHA et les bots de résolution de CAPTCHA inutiles.

2. Conformité à la protection des données

Notre CAPTCHA est conforme aux lois locales sur la protection des données en Amérique du Nord, EMEA, APAC, Amérique du Sud et Afrique. La confidentialité est un droit humain fondamental qui doit être protégé. Renforcer la sécurité ne doit pas signifier sacrifier la confidentialité des données des utilisateurs. DataDome ne collecte que les données strictement nécessaires des utilisateurs finaux, qui sont protégées selon les normes de sécurité les plus élevées et utilisées uniquement pour la détection et la sécurité, jamais partagées avec des tiers.

3. Rapide et simple à utiliser

Si notre CAPTCHA est déclenché, il fonctionne rapidement. Le défi se charge en 0,9 seconde (contre 2,1 secondes pour reCAPTCHA et 1,8 seconde pour GeeTest) et ne prend en moyenne que 2,2 secondes à résoudre.

Nous accordons également une grande importance à l’accessibilité de notre CAPTCHA. Bien que la plupart des CAPTCHA manquent d’accessibilité, la division Accessibilité de l’association Valentin Haüy a trouvé le CAPTCHA de DataDome très bien conçu pour les malvoyants, avec un défi audio disponible en 13 langues différentes à ce jour (contre 8 pour reCAPTCHA et 7 pour GeeTest).

Activation du DataDome CAPTCHA

Il est très simple de passer de votre CAPTCHA traditionnel à celui de DataDome. En quelques étapes seulement, vous pourrez dire adieu à l’ancien et accueillir le nouveau.

Pour les clients actuels :

Connectez-vous à votre tableau de bord DataDome et sélectionnez « Gestion » en bas du menu à gauche. Ensuite, choisissez « Pages de réponse ».

2.   Sous « Choisir une solution CAPTCHA », sélectionnez DataDome CAPTCHA.

Si vous avez besoin d’assistance ou si vous avez des questions, veuillez contacter votre Customer Success Manager (CSM) ou notre équipe d’aide à la clientèle.

Pour les non-clients :

Pour ceux qui découvrent ou testent DataDome, passer à notre CAPTCHA commence par une démonstration en direct avec un expert en menaces. Ensuite, notre équipe vous aidera volontiers à compléter les étapes suivantes :

1.   Récupérer votre clé (soit la clé client-side, soit la clé module server-side) depuis votre tableau de bord.

2.   Configurer l’un de nos modules « server-side » ou utiliser directement notre API de protection.

3.   Compléter l’intégration côté client :

• Pour les sites web et les applications à page unique, consultez notre JavaScript Tag.
• Pour les applications mobiles, consultez notre documentation SDK pour Android et iOS.

Pour plus de détails et une liste des modules disponibles pour l’intégration côté serveur, consultez notre documentation « Démarrage avec DataDome ».

Que se passe-t-il ensuite ?

Une fois l’intégration terminée, nous surveillerons silencieusement chaque requête vers votre plateforme en temps réel et n’afficherons un CAPTCHA que lorsque nous détecterons qu’il s’agit d’un bot. Ainsi, vos véritables utilisateurs humains ne seront pas gênés par des CAPTCHA. Vous n’avez pas besoin d’écrire de code pour afficher le CAPTCHA ou gérer le cycle de rétroaction.

Étapes pour supprimer votre CAPTCHA traditionnel

Intégrations CAPTCHA

Malgré les nombreuses versions différentes de CAPTCHA et reCAPTCHA, l’intégration sur un site web comporte généralement deux composants clés :

• Code côté client : s’exécute en JavaScript dans le navigateur pour afficher le défi CAPTCHA.
• Code côté serveur : reçoit la réponse, effectue un appel/requête HTTP au fournisseur CAPTCHA pour valider la réponse du CAPTCHA.

Pour supprimer votre CAPTCHA, il vous suffit de supprimer ces morceaux de code.

Vous pouvez également avoir du code côté serveur qui détecte si un utilisateur a déjà réussi un CAPTCHA et qui répond en fonction de cela. Ce code doit également être supprimé avant de passer au DataDome CAPTCHA.

Suppression de reCAPTCHA

Supprimer l’intégration côté client

1. Ouvrez le code de votre intégration reCAPTCHA côté client.
2. Supprimez la balise de script de Google reCAPTCHA : <script src=”https://www.google.com/recaptcha/api.js” async defer></script>.
3. Supprimez tous les noms de paramètres que vous pourriez avoir dans le code, tels que g-recaptcha.

Supprimer l’intégration côté serveur

1. Ouvrez le code de votre intégration reCAPTCHA côté serveur.
2. Supprimez toute clé secrète utilisée pour reCAPTCHA.
3. Supprimez le champ g-recaptcha-response.
4. Supprimez l’URL siteverify.
5. Supprimez tout code lié au seuil de scoring.

Supprimer le site de la console d’administration (optionnel)

Cette étape n’est pas nécessaire pour supprimer reCAPTCHA de votre site, mais si vous souhaitez supprimer complètement votre site de la console d’administration, suivez ces étapes :

1. Ouvrez votre console d’administration reCAPTCHA.
2. Utilisez les menus déroulants pour sélectionner le site duquel vous souhaitez supprimer reCAPTCHA.
3. Cliquez sur l’icône de l’engrenage en haut à droite pour accéder aux paramètres de la page.
4. Cliquez sur l’icône de la poubelle en haut à droite de l’en-tête de la page.

Pour plus de détails sur l’emplacement des différents paramètres dans la console d’administration, consultez la documentation de Google sur les paramètres reCAPTCHA.

Suppression de hCaptcha

Supprimer l’intégration côté client

1. Ouvrez le code de votre intégration hCaptcha côté client.
2. Supprimez la balise de script de hCaptcha : <script src=”https://js.hcaptcha.com/1/api.js” async defer></script>.
3. Supprimez tous les noms de paramètres que vous pourriez avoir dans le code, tels que h-captcha.

Supprimer l’intégration côté serveur

1. Ouvrez le code de votre intégration hCaptcha côté serveur.
2. Supprimez toute clé secrète utilisée pour hCaptcha.
3. Supprimez le champ h-captcha-response.
4. Supprimez l’URL siteverify.
5. Supprimez tout code lié au seuil de scoring.

Suppression de GeeTest

Supprimer l’intégration côté client

1. Ouvrez le code de votre intégration GeeTest côté client.
2. Supprimez la balise de script de GeeTest : <script src=”gt.js”></script>.
3. Supprimez tous les noms de paramètres que vous pourriez avoir dans le code, tels que gt.

Supprimer l’intégration côté serveur

1. Ouvrez le code de votre intégration GeeTest côté serveur.
2. Supprimez toute clé secrète utilisée pour GeeTest.
3. Supprimez le champ de réponse.
4. Supprimez toutes les références à API1 et API2.

Conclusion

Une fois que vous avez remplacé votre CAPTCHA traditionnel par le DataDome CAPTCHA, vous pouvez vous détendre et nous laisser prendre en charge la protection contre les bots en mode automatique. Notre détection par apprentissage supervisé s’adaptera pour identifier les menaces les plus récentes. Pendant ce temps, vos utilisateurs pourront explorer votre plateforme sans aucun défi, la plupart du temps sans même se rendre compte qu’un CAPTCHA est installé.

Si vous avez des questions concernant la transition vers le CAPTCHA axé sur la sécurité de DataDome, n’hésitez pas à nous contacter.